问个思科7609路由器的安全问题

bylijinnan · 发表于 2011-5-2 11:03:35

7609的一个端口连接着一个网吧。
网吧说是被攻击了，登上7609查看该端口，output占满带宽，input很小。
如何尽快找到攻击源呢？找到了之后该如何处理呢？

菜鸟提问，高手莫笑~~

wantccie · 发表于 2011-5-2 13:30:32

看交换机日志，起端口镜像，用sniffer等抓包工具抓，看是哪个IP地址，再作判断。

gekey · 发表于 2011-5-2 17:24:30

Output对于网吧用户来说就是下行流量，如果网吧用户在用bt，迅雷等下载，下行流量大很正常，不知道是怎么判断是被攻击了。
另，“起端口镜像，用sniffer等抓包工具抓，看是哪个IP地址，再作判断。”是一个很好解决办法。

王晓强 · 发表于 2011-5-3 10:12:28

流量很大，一般就是要看看是什么流量，楼上两位正解。
使用SPAN技术，做流量镜像，利用抓包工具分析流量组成。

tieqilin · 发表于 2011-5-3 21:18:36

本帖最后由 tieqilin 于 2011-5-3 21:19 编辑

看交换机日志，起端口镜像，用sniffer等抓包工具抓，看是哪个IP地址，再作判断 www.baojinlvye.com

bylijinnan · 发表于 2011-5-3 23:13:42

前辈跟我说，output占满带宽，input几乎没有，就基本是被攻击了。

不知道原理是什么？

另外，
"起端口镜像，用sniffer等抓包工具抓，看是哪个IP地址，再作判断"可以讲详细点吗？或者有什么参考资料可看看？

bylijinnan · 发表于 2011-5-3 23:15:38

回复 6 # bylijinnan 的帖子

还说，input 占满带宽，output几乎没有，就基本是网吧内网中毒
--这又是什么原理呢？

账号		自动登录	找回密码
密码			立即注册